Automation Suite
2022.4
falso
Imagem de fundo do banner
Guia do administrador do Automation Suite
Última atualização 25 de mar de 2024

Configurando a integração do Active Directory

Você pode habilitar o SSO usando a autenticação do Windows e habilitar a funcionalidade de pesquisa de diretórios com a integração do Active Directory. A pesquisa de diretórios permite pesquisar contas e grupos de diretórios e trabalhar com eles como faria com contas locais.

Restrições conhecidas

  • A pesquisa de diretórios não encontra usuários de um domínio de confiança externo. Esse recurso não é compatível porque não há uma autoridade de confiança mútua com confiança externa.
  • A Autenticação do Windows usa o protocolo Kerberos no Automation Suite e, portanto, o logon do Windows só pode ser usado com máquinas associadas a um domínio.

Etapa 1. Configurar a integração do Active Directory

Trabalhe com os seus administradores de TI para garantir que o cluster do Automation Suite possa acessar seu Active Directory (AD).

A integração do Active Directory pode ser configurada usando uma de duas opções:

  1. Autenticação do Kerberos
  2. UsernameAndPassword

A autenticação do Kerberos é recomendada porque é compatível com mais cenários:

Cenário

UsernameAndPassword

Autenticação do Kerberos

Pesquisa de diretórios por domínios na mesma floresta

Suportado

Suportado

Pesquisa de diretórios por domínios em uma floresta confiável

Não Compatível

Suportado

Pesquisa de diretórios por domínios de confiança externos

Não Compatível

Não Compatível

a. Configuração do Kerberos (recomendada)

  1. Configure a autenticação do Kerberos seguindo as instruções em Configuração da autenticação do Kerberos.
  2. Faça login no portal do host do Automation Suite como administrador do sistema.
  3. Acesse Configurações de segurança.
  4. Na seção Provedores externos, clique em Configurar em Active Directory.
    • Marque a caixa de seleção Ativado para ativar a integração.
    • Marque a caixa de seleção Forçar login automático usando este provedor se quiser permitir login apenas com contas do Active Directory. :fa-warning: Só faça isso se a integração com o provedor tiver sido validada com sucesso para evitar o bloqueio.
    • No campo Nome de exibição, digite o texto que deseja mostrar nesta opção de login na página Login.
    • Deixe a caixa de seleção Usar Kerberos Auth marcada.
  5. Clique em Testar e salvar para salvar suas alterações.
  6. Reinicie o pod identity-service-api-*.
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando:
      kubectl -n uipath rollout restart deployment identity-service-api

B. Configuração de Nome de usuário e Senha

Importante: Quando você usa essa opção, o serviço UiPath usa credenciais fornecidas em texto não criptografado para se comunicar com o Active Directory.Para evitar isso, recomendamos usar LDAP sobre SSL (LDAPS) com essa configuração.
Importante: Somente usuários da mesma floresta configurada nesta página podem interagir com o cluster UiPath. Os usuários de florestas confiáveis não poderão fazer login neste cluster UiPath.

B.1. Pré-requisito para usar LDAPS

Se você pretende usar o LDAP sobre SSL (LDAPS), primeiro deve configurar o LDAP sobre SSL em seu ambiente AD e obter o certificado raiz a ser usado na configuração do cluster UiPath.

Observação:

Problema conhecido: o certificado LDAPS configurado não persiste após a atualização. Como resultado, após uma atualização, é necessário adicionar o certificado LDAPS novamente para que as conexões seguras do LDAP funcionem.

  1. Obtenha e instale o certificado SSL para LDAPS em cada controlador de domínio.

    Para obter mais informações e instruções, consulte o artigo Certificado do LDAP pelo protocolo SSL (LDAPS).

  2. Codifique o certificado raiz em Base64 executando o seguinte comando:
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  3. Adicione o certificado raiz codificado no ArgoCD:
    1. Faça login no ArgoCD.
    2. Selecione e vá para o aplicativo uipath.
    3. No canto superior esquerdo, clique em DETALHES DO APLICATIVO.
    4. Na seção Parâmetros, procure o parâmetro global.userInputs.certificate.identity.ldaps.customRootCA.
    5. Atualize o valor do parâmetro para o conteúdo codificado obtido anteriormente.
    6. Salve.
    7. Clique em SYNC para aplicar suas alterações.

B.2. Configuração do Active Directory

  1. Faça login no portal do host do Automation Suite como administrador do sistema.
  2. Acesse Configurações de segurança.
  3. Na seção Provedores externos, clique em Configurar em Active Directory.
    • Selecione a caixa de seleção Habilitado.
    • Se quiser permitir login somente com contas Active Directory, marque a caixa de seleção Forçar login automático usando este provedor.
    • (Opcional, mas fortemente recomendado) Marque a caixa de seleção Usar LDAP sobre SSL (LDAPS) .
    • A caixa de seleção Use Kerberos Auth deve ser desmarcada.
    • No campo Nome de exibição, digite o nome que você quer mostrar na página Login desta opção para entrar.
    • No campo Domínio padrão digite seu nome de domínio totalmente qualificado (FQDN) para o Active Directory (AD).
    • No campo Nome de usuário , digite o nome de usuário de um usuário AD. Ele precisa estar no formato DOMAIN\username. Por exemplo, TESTDOMAIN\user1.
    • No campo Senha do usuário, digite a senha para a conta do AD acima.
  4. Clique em Testar e salvar para salvar as alterações.
  5. Reinicie o pod identity-service-api-*.
    1. Conecte-se ao servidor primário usando SSH.
    2. Execute o seguinte comando:

      kubectl -n uipath rollout restart deployment identity-service-api

Solução de problemas

Domínio inacessível
Se você receber o erro Domain unreachable, verifique o roteamento de DNS usando o comando getent ahosts <AD domain>.
Se não retornar um endereço IP, verifique o nó /etc/resolv.conf. O valor de nameserver deve apontar para o DNS do domínio do AD. Em caso negativo, entre em contato com o administrador de seu sistema para obter a configuração apropriada.

Se o nó for executado no Azure, siga as instruções em Resolução de nomes para recursos nas redes virtuais do Azure.

Uma forma de fazer isso é:

  1. No Azure, acesse a rede virtual de nós e defina os servidores DNS da rede virtual para o DNS do Active Directory.
  2. Execute systemctl restart NetworkManager.service e verifique se /etc/resolv.conf está atualizado.
  3. Reinicie o DNS principal do cluster no ArgoCD.
Domínio inacessível ao usar LDAPS
Se você receber o erro Domain unreachable quando o LDAPS estiver ativado, isso pode ser causado pelo uso do certificado errado.

Verifique se você tem vários certificados válidos para autenticação de servidor no armazenamento de certificados do computador local do servidor LDAP. Nesse caso, um certificado diferente daquele que você deseja pode ser usado para comunicações LDAPS.

A solução mais fácil é remover todos os certificados desnecessários do armazenamento de certificados do computador local e ter apenas um certificado válido para autenticação do servidor.

Etapa 2. Configurar a Autenticação do Windows

Pré-requisito

Obtenha a <KERB_DEFAULT_KEYTAB>, que é a string codificada em base64 do arquivo keytab, gerada como parte da configuração do Kerberos.

Configurar o cluster do Automation Suite

  1. Acesse o ArgoCD e faça login como administrador.
  2. Selecione e acesse o aplicativo “uipath“.
  3. Clique em DETALHES DO APP no canto superior esquerdo.
  4. Na seção PARAMETERS, procure o parâmetro global.userInputs.identity.krb5KeytabSecret.

    O parâmetro tem um valor de espaço reservado por padrão.

  5. Atualize o valor do espaço reservado do parâmetro com <KERB_DEFAULT_KEYTAB> e salve.
  6. Clique em SINCRONIZAR para aplicar a alteração.
  7. Após uma sincronização bem-sucedida, execute o comando kubectl -n uipath rollout restart deployment identity-service-api para reiniciar o Identity Server.

Etapa 3. Configuração do navegador

Microsoft Internet Explorer

Não compatível.

Microsoft Edge

Nenhuma configuração adicional necessária.

Google Chrome

Normalmente, o Google Chrome funciona sem uma configuração adicional.

Se não funcionar, siga as instruções abaixo.

  1. Acesse Ferramentas > Opções da internet > Segurança.
  2. Selecione Intranet local.
  3. Clique em Sites.
  4. Certifique-se de que Detectar automaticamente a rede da Intranet esteja selecionada ou que todas as opções estejam selecionadas.
  5. Clique em Avançado.
  6. Adicione o FQDN do Automation Suite à Intranet local.
  7. Clique em Fechar e em OK.
  8. Clique em Nível personalizado.
  9. Ou então, selecione Logon automático apenas na zona da Intranet em Autenticação do usuário

    Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele verificará a origem do requisito. Se o domínio ou IP pertencer à Intranet, o navegador enviará o nome de usuário e a senha automaticamente. Em caso negativo, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e senha, e esperará uma entrada manual.

  10. Ou então, selecione Login automático com nome de usuário e senha atuais em Autenticação do usuário.

    Se estiver selecionado, quando o navegador receber a solicitação de autenticação de redirecionamento, ele enviará o nome de usuário e a senha silenciosamente. Se o resultado da autenticação for bem-sucedido, o navegador continuará na ação original. Se a autenticação falhar, o navegador abrirá uma caixa de diálogo de entrada do nome de usuário e tentará novamente até ser bem-sucedido.

  11. Certifique-se de que Habilitar a Autenticação do Windows integrada esteja selecionada na guia Opções da internet > Avançado e na seção Segurança.

Mozilla Firefox

  1. Abra a janela de configuração do navegador.
  2. Digite about:config na barra de endereços.
  3. Especifique os FQDNs do Automation Suite para os quais você usa a autenticação do Kerberos:
    1. Pesquise o termo network.negotiate.
    2. Habilite e defina o seguinte para o Kerberos: network.negotiate-auth.delegation-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de exemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) e network.negotiate-auth.allow-non-fqdn (valor: true).

Etapa 4. Permitir a Autenticação do Windows para a organização

Agora que o Automation Suite está integrado à Autenticação do Windows, os usuários para os quais uma conta de usuário é criada no Automation Suite pode usar a opção Windows na página Logon para entrar no Automation Suite.



O administrador de cada organização deve fazer isso para sua organização se quiser permitir o logon com credenciais do Windows.

  1. Faça logon no Automation Suite como administrador de uma organização.
  2. Atribua uma função ao nível de organização a um usuário ou grupo do Active Directory, que você pode selecionar na pesquisa.
  3. Repita a etapa acima para cada usuário que você deseja permitir que faça login com a Autenticação do Windows.

Então, os usuários aos quais você atribuiu funções poderão fazer login na organização do Automation Suite com sua conta do Active Directory. Eles devem fazer logon em uma máquina associada a um domínio.

Solução de problemas

Se você receber um erro HTTP 500 ao tentar fazer login usando as credenciais do Windows, aqui estão algumas coisas para verificar:

  1. A máquina do Windows está associada a um domínio?

    Na máquina, acesse Painel de controle > Sistema e segurança > Sistema e verifique se é mostrado um domínio. Se nenhum domínio for mostrado, adicione a máquina ao domínio. As máquinas devem ser associadas a um domínio para usar a Autenticação do Windows com o protocolo Kerberos.

  2. Você consegue fazer login na máquina do Windows com as mesmas credenciais?

    Se não conseguir, peça ajuda ao administrador de seu sistema.

  3. Você está usando um navegador diferente do Microsoft Edge?

    É necessária uma configuração adicional para navegadores compatíveis diferentes do Microsoft Edge.

  4. Verifique a configuração do keytab:
    1. Depois de gerar o keytab, no servidor do Active Directory, a propriedade do usuário do AD (servicePrincpalName) deve ter a forma HTTP/<Service Fabric FQDN> - por exemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.

    2. A opção Esta conta é compatível com critografia Kerberos AES de 256 bits deve estar selecionada para a conta do usuário no AD.

      Se estiver configurado incorretamente, no log identity-service-api, você poderá ver:

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

  5. Se você tiver vários Active Directories configurados no domínio que estiver usando, a autenticação falhará e, no log identity-service-api, você poderá ver: 

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    Nesse caso, certifique-se de que a conta da máquina criada para autenticação seja repetida em todos os Active Directories.

  6. Se você executar ktpass e atribuir uma nova senha à conta do usuário, a versão do keytab (kvno) aumentará e invalidará o keytab antigo. No log identity-service-api, você pode ver: 
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    Nesse caso, você precisa atualizar o krb5KeytabSecret no ArgoCD.
  7. Se você vir o seguinte erro no pod identity-service-api: 
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Primeiro, verifique se você forneceu o parâmetro global.userInputs.identity.krb5KeytabSecret no ArgoCD. Se o parâmetro existir, verifique se você pode fazer login na máquina Windows com as credenciais do usuário do AD usadas para gerar o keytab. Observe que você deve gerar novamente o keytab se a senha tiver sido alterada ou estiver expirada.
    2. Outra possível causa desse problema é que o ArgoCD foi sincronizado incorretamente anteriormente. Para corrigir o problema, remova o global.userInputs.identity.krb5KeytabSecret existente, sincronize o ArgoCD e, quando a operação for bem-sucedida, atualize o global.userInputs.identity.krb5KeytabSecret e sincronize novamente.

  8. O navegador usa o SPN esperado?

    Se o log de eventos do Kerberos estiver habilitado seguindo estas instruções , você poderá visualizar o erro KDC_ERR_S_PRINCIPAL_UNKNOWN nos logs de eventos do Kerberos. Para detalhes sobre esse problema, consulte a documentação da Microsoft .

    Para resolver esse problema, desabilite a pesquisa CNAME ao negociar a autenticação Kerberos modificando a política de grupo. Para obter detalhes, consulte as instruções do Google Chrome e do Microsoft Edge .

Was this page helpful?

Suporte e serviços
Obtenha a ajuda que você precisa
UiPath Academy
Aprendendo RPA - Cursos de automação
Fórum do UiPath
Fórum da comunidade da Uipath
Logotipo branco da Uipath
Confiança e segurança
Termos de Uso
Política de Privacidade
Política de cookies
© 2005-2024 UiPath. All rights reserved.